iOS: Speicherung von Website-Passwörtern in Safari wiederherstellen

Der Safari-Browser bietet unter iOS die Möglichkeit, Passwörter im iCloud-Schlüsselbund zu hinterlegen und damit den Login-Prozess zu vereinfachen.

Beim manuellen Login auf einer Website wird folgende Auswahl angeboten:

  • Passwort sichern
  • Später
  • Niemals für diese Website

Letzterer Punkt ist insofern problematisch, als dass man möglicherweise im Nachhinein feststellt, dass man das Passwort vielleicht doch gerne gesichert hätte.

Leider bietet iOS bis zur Version 11 keine Möglichkeit dies rückgängig zu machen.

Es gibt jedoch einen kleinen Workaround:

Geht in die Einstellungen eures Geräts und sucht dort den Punkt „Accounts & Passwörter“. Wählt dann „App- & Website-Passwörter“ und gebt den Passcode ein oder bestätigt euren Fingerabdruck via Touch ID. Ganz unten findet ihr den Punkt „Passwort hinzufügen“. Legt die gewünschte Website, Benutzername und Passwort fest und tippt auf „Fertig“.

Wenn ihr diese angelegte Website das nächste mal besucht und in das Passwortfeld tippt, wird durch euch oberhalb der Tastatur „Passwörter“ angewählt und dann das nachfolgende Menü angezeigt:

iOS-Safari-Passwort

Hier könnt ihr das zuvor gesicherte Passwort auswählen. Der Punkt „Heute“ wandelt sich später in ein Datum um.

Ransomware Jaff: Manipulierte PDF als E-Mail-Anhang

Aktuell warnt das LKA Niedersachsen vor einer alten Masche in neuem Gewand: Dem Erpressungstrojaner Jaff.

Ransomware Jaff

Wie auch diverse andere Ransomware, die seit längerem ihr Unwesen im Netz treibt, zielt auch dieser Schädling darauf ab, die Dokumente der Windows-User zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.

Der Trojaner Jaff setzt dabei auf eine manipulierte PDF-Datei, in welche eine Word-Datei mit Makros integriert ist. Dies bedeutet, dass das reine Betrachten der PDF zwar noch kein Sicherheitsrisiko darstellt, wer allerdings die entsprechende Word-Datei nach einer Sicherheitsabfrage öffnet und der Aktivierung von Makros zustimmt, bringt die Infektion in Gange. Erkennbar sind die verschlüsselten Dateien an der Dateiendung „.wlu“.

Um die Benutzer zu „zwingen“ diese Schritte vorzunehmen, werden gerne angeblich unbezahlte Rechnungen (Invoices) vorgeschoben.

Empfänger derartiger E-Mails sollten – unabhängig von dieser Vorgehensweise – immer kritisch hinterfragen, ob die jeweilige Nachricht tatsächlich authentisch ist und das Öffnen im Zweifelsfall unterlassen.

Opfern von Verschlüsselungstrojanern wird empfohlen, die Websites ID-Ransomware oder No More Ransom im Blick zu behalten und zu prüfen, ob für die jeweilige Bedrohung ein kostenloses Entschlüsselungstool existiert. Von der Zahlung eines Lösegelds raten Experten einhellig ab.

 

Kritische Lücke in VMware geschlossen

zero-day-initiative

Nachdem beim Pwn2Own-Wettbewerb von ambitionierten Sicherheitsforschern in einem dreistufigen Ausnutzen von Schwachstellen der Ausbruch aus einer virtuellen Maschine gelungen war, hat VMware mit einem Update nachgelegt und zumindest das Fehlverhalten der eigenen Software in den Griff bekommen.

Im Rahmen des Wettbewerbs Pwn2Own gelang es Forschern zuvor, den in der Regel schwierig zu bewerkstelligen Ausbruch aus einer virtuellen Maschine (VM) zu bewerkstelligen. Dieses Angriffsszenario ist ebenso beliebt wie gefürchtet, da ein solcher Escape bei einem Hosting-Provider über das Wirtssystem theoretisch auch den Zugriff auf die virtuellen Server von anderen Kunden ermöglicht.

Um den Hack zu bewerkstelligen, wurde zunächst ein Fehler in der JavaScript-Engine von Microsoft Edge durch den Besuch einer präparierten Website ausgenutzt, um Code innerhalb der Edge-Sandbox auszuführen.

Im Folgeschritt, wurde wiederum ein Fehler im Kernel von Windows 10 (also dem OS der virtuellen Maschine) zum Ausbruch aus der Sandbox verwendet, um das Gastsystem zu kompromittieren.

Im dritten und letzten Schritt bediente man sich nun noch einer Schwachstelle in der Hardware-Simulation des Wirtssystems und übernahm somit die komplette Kontrolle über den Host.

Dem erfolgreichen Team winkte ein Preisgeld in Höhe von 105.000 USD.

IoT: Angriffe auf das Internet der Dinge

Wenn man die seit längerem andauernde euphorische Berichterstattung nach dem digitalen Wandel verfolgt, so begegnet uns damit zwangsläufige auch die avisierte Vernetzung von gewohnten Gegenständen. Das sogenannte Internet of Things.

Gemeint sind damit Dinge des täglichen Gebrauchs: Autos, Steckdosen, Thermostate im Heizungsbereich, Küchengeräte, Waschmaschinen und vieles mehr.

Die Benutzer sollen es bei der Einrichtung und Benutzung (gerade von unterwegs) so einfach wie möglich haben. Jederzeit Zugriff auf das eigene Zuhause Smart Home und die Versorgung mit Informationen. Das dies mitunter zulasten der Sicherheit geht, haben Vorfälle in der Vergangenheit bereits gezeigt.

So konnten Angreifer beispielsweise Zugriff auf die Hausautomatisierung bzw. die Steuerung der Zentralheizung erlangen.

Doch der technologische Fortschritt macht nicht vor Haushaltsgeräten halt, vielmehr geht die Technik weiter und soll zukünftig verstärkt in medizinischen Apparaturen wie Herzrhythmus-Sensoren verbaut werden. Der Vorteil liegt klär auf der Hand: Einfacheres Auslesen und Justieren für den Arzt und somit kürzere Behandlungszeiten und günstigere Kosten – verglichen mit aufwändigen Eingriffen.

Eigentlich sollte man meinen, dass insbesondere diese lebenswichtige Elektronik besonders gegen Angriffe geschützt sei. Wie nun bei heise Security zu lesen war, ist es einem Forscherteam aus Südkorea jedoch gelungen, diesen Sensor bei einem Herzschrittmacher mit simplen Laserstrahlen zu täuschen. Es wurden somit Herzschläge registriert, obwohl das Gerät nicht mit einem Menschen in Verbindung stand.

Infusionspumpe-Infrarot-Sensor

Einen weiteren Versuch hat man mit einer Infusionspumpe unternommen, bei welcher der Sensor mit Infrarotstrahlen manipuliert werden konnte. Das Gerät hat keinen Durchfluss mehr erkennen können und wertete die Tropffrequenz somit gegen Null aus. Die Folge war ein Erhöhen auf das Maximum, was für einen Patienten tödlich ausgehen könnte.

Die potenziellen Angriffsszenarien stellte der südkoreanische Forscher Yongdae Kim laut heise Security am Montag bei einem Vortrag auf der Konferenz Usenix Enigma vor. Er unterteilte die Angriffsflächen in drei Klassen:

  1. Beeinflussung der vom Sensor zu erkennenden Signalart
  2. Flutung des Sensors mit Signalen, für welche er nicht geschaffen wurde
  3. Angriff auf die Verbindung zwischen Sensor und Embedded System

Übrigens konnte er durch Beschallung des Sensors einer Drohne diese ebenfalls Absturz bringen. Verglichen mit den obigen Szenarien aber womöglich noch die harmloseste Variante.

Das ganze zeigt, dass Hersteller von IoT-Devices vor lauter Euphorie nicht die Sicherheitsaspekte – also u.a. die Verschlüsselung der Datenübertragung zur IoT-Cloud oder Sensor-Security – außer Acht lassen dürfen und auch Verbraucher immer kritisch hinterfragen sollten, wie es um die Sicherheit der eingesetzten/einzusetzenden Geräte im „Internet of Things“ bestellt ist.

Test: Cloud-Speicher von hubiC

hubic-your-hub-in-the-cloud

Cloud-Dienste gibt es wie Sand am Meer. Nicht selten bieten diese kostenlosen Speicherplatz und vieles mehr an. Doch welcher online Speicher ist der richtige für mich? Diese Frage stellen sich berechtigterweise viele Nutzer.

Ein wichtiger Aspekt ist hierbei die richtige Balance zwischen einem guten Preis-Leistungs-Verhältnis und der Einhaltung der Datenschutz-rechtlichen Bestimmungen. Viele Nutzer sind dabei sogar bereit einen gewissen Obolus zu entrichten.

Gerade wenn es um den Datenschutz geht, möchten viele Nutzer ihre hinterlegten Dateien in Sicherheit wissen und machen daher oftmals einen weiten Bogen um ausländische Anbieter, vor allem im amerikanischen Raum.

Doch guter Cloud-Storage muss nicht immer in Deutschland gehostet werden. Dies habe ich nun bereits mehrere Tage am Beispiel hubiC getestet. Zuvor nutzte ich das kostenpflichtige Angebot des Mediencenters der Deutschen Telekom (DTAG). Hierfür wurden rund 5 EUR im Monat bei einem Kontingent von 50 Gigabyte fällig. Im Gegensatz hierzu liegen die Kosten bei hubiC gerade einmal bei maximal 10%, nämlich beispielsweise 100 Gigabyte für 1 EUR monatlich.

Der Name hubiC wird vielen vermutlich nicht allzu bekannt vorkommen. Wenn man jedoch weiß, in wessen Produkt-Portfolio hubiC einzuordnen ist, wird man möglicherweise hellhörig.

Hinter hubiC steht nämlich OVH, Europas Marktführer im Server- und Webhosting-Bereich mit Rechenzentren an mehreren Standorten. Der angebotene Cloud-Speicher unterliegt bei hubiC den ebenfalls auf hohem Niveau angesiedelten französischen Datenschutz-Bestimmungen und stellt somit eine gute Alternative zu deutschen Cloud-Services dar. Ganz zu schweigen von Diensten aus den USA wie zum Beispiel Google Drive, Dropbox und OneDrive.

Was mich vor allem im Vergleich zum Mediencenter der DTAG besonders positiv gestimmt hat, war der schnelle Upload. Während ich im Mediencenter mit teilweise gerade einmal 5 MBit/s hochladen konnte, nutzt die Sync-Software von hubiC quasi meinen kompletten Upstream. Erfreulicherweise liegt der Upload damit in der Spitze bei 20 MBit/s.

Wem 100 Gigabyte Cloud-Speicher nicht ausreichen, der kann natürlich auch aufstocken. So werden aktuell 10 Terabyte (TB) für 5 EUR im Monat angeboten.

hubiC-Preise

Die Sync-Software bietet quasi die gleichen Features, wie man sie von anderen Anbietern auch kennt und es sind auch mobile Apps für iOS, Windows Phone und Android verfügbar.

Neben dem Datenschutz spielt auch die Datensicherheit eine große Rolle. OVH spiegelt die Cloud-Daten seiner User unter anderem auf zwei weitere Rechenzentren in Frankreich. Das bedeutet, eure Daten werden insgesamt in drei Datacentern (zwei in Nord- und eines in Ostfrankreich) vorgehalten, womit für den Fall der Fälle ein Höchstmaß an Redundanz erreicht wird.

In Verbindung mit Boxcryptor lässt sich natürlich auch bei Verwendung von hubiC ein spezielles Laufwerk mappen, mit Hilfe dessen die dort abgelegten Daten vor dem Upload in die Cloud lokal verschlüsselt werden.

Wer hubiC zunächst einmal ausprobieren und ebenfalls gute Erfahrungen damit sammeln möchte, dem sei das kostenfreie Angebot mit 25 Gigabyte Storage nahegelegt.